jQuery Mobile漏洞会有跨站脚本攻击风险


Posted in Javascript onFebruary 12, 2017

jQuery Mobile漏洞会有跨站脚本攻击风险

概述

根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。

jQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五万个活动站点是采用jQuery Mobile开发的。

jQuery Mobile是目前一个非常热门的项目,下图显示的是Stack Overflow上关于jQuery Mobile的提问数量增长情况:

jQuery Mobile漏洞会有跨站脚本攻击风险

下图显示的是jQuery Mobile的使用统计情况:

jQuery Mobile漏洞会有跨站脚本攻击风险

漏洞描述

几个月之前,当时的Vela正在苦苦寻找内容安全策略(CSP)的绕过方法,但是在研究的过程中他注意到了jQuery Mobile的一种非常有意思的行为。jQuery Mobile会从location.hash属性中获取任意的URL地址,然后再用innerHTML来处理这个URL地址所返回的响应,而在某些特定条件下,攻击者就可以利用它的这种特性来攻击目标网站。当他发现了这种奇怪的行为之后,他便开始继续研究,以确定网站是否存在跨站脚本漏洞。

Vela在对这个XSS漏洞进行了深入分析之后给出了该漏洞的运行机制,大致如下:

1.     jQuery Mobile首先会检查location.hash属性值。

2.     如果location.hash中的数据看起来跟URL地址差不多的话,它会尝试将其添加到浏览历史记录之中(通过history.pushuState实现),然后再利用XMLHttpRequest来对其进行请求访问。

3.     接下来,它会使用innerHTML来处理服务器端的响应数据。

它首先会尝试调用history.pushState方法,这会增加一定的攻击难度,因为你无法对一个跨域的URL使用history.pushState方法。安全专家解释称,虽然从理论上来说,history.pushState方法理应能够防范XSS攻击,但如果网站存在开放重定向漏洞的话,攻击者依旧有可能利用这种安全漏洞来对目标站点实施攻击。

下面是Vela给出的demo【 代码下载 】:

http://jquery-mobile-xss.appspot.com/#/redirect?url=http://sirdarckcat.github.io/xss/img-src.html

根据安全研究专家的描述,目前有很多网站都无法抵御这种类型的攻击,因为很多组织并不认为“开放重定向”是一种安全漏洞,而需要注意的是,像谷歌( /search )、YouTube( /redirect )、Facebook( /l.php )、百度( /link )以及雅虎( /ads/pixe l)这样的热门网站都存在这种安全漏洞。

jQuery Mobile漏洞会有跨站脚本攻击风险

坏消息来了

实际上,这是一个非常简单的漏洞,想要找到这种漏洞其实也很容易。在Vela确认了该漏洞之后,他便立刻将漏洞信息上报给了jQuery Mobile的开发团队,但是当开发团队确认了该漏洞将会给用户带来的安全风险之后,Vela却被告知这个漏洞不会得到修复。

如果修复了该漏洞的话,目前很多正在运行的Web站点和应用程序都将会受到影响,这也是开发团队选择不修复该漏洞的原因之一。Vela在其发表的研究报告【 传送门 】中写到:“jQuery Mobile团队解释称,他们认为“开放重定向”是一种安全漏洞,但是jQuery Mobile的这种获取并呈现URL内容的这种行为并不是一种安全缺陷,而且如果要修复这种所谓的“安全漏洞”,那么将会使大量目前已上线的Web站点和应用程序出现异常,所以他们并不打算做任何的修改。这也就意味着,jQuery Mobile的开发团队不会就这个问题发布任何的更新补丁。而这也同样意味着,所有使用了jQuery Mobile且存在开放重定向的网站都将存在跨站脚本漏洞。”

jQuery Mobile漏洞会有跨站脚本攻击风险

如果目标网站不存在开放重定向漏洞的话,攻击者是否还可以利用这个XSS漏洞来实施攻击呢?Vela和很多其他的安全研究人员也正在进行尝试,但目前仍未取得成功。

Vela表示:“如果你有时间的话,你可以在没有开放重定向漏洞的条件下尝试去利用这个XSS漏洞来实施攻击,这也是一种研究思路。我试过很多种方法,但目前都还没有取得成功。”

总结

开放重定向(Open Redirect)是非常常见的,但它也同样会给网站和应用程序带来巨大的安全风险,因此Vela建议安全社区应该修复“开放重定向”这个功能中存在的安全问题。或者说我们应该统一思想,然后一起将其视为一种安全漏洞。如果整个安全行业在这一点无法达成一致的话,估计还有更多的XSS漏洞在等待着我们。

Javascript 相关文章推荐
拖动Html元素集合 Drag and Drop any item
Dec 22 Javascript
javascript学习(二)javascript常见问题总结
Jan 02 Javascript
JavaScript学习笔记之JS事件对象
Jan 22 Javascript
jQuery中常用的遍历函数用法实例总结
Sep 01 Javascript
13个PHP函数超实用
Oct 21 Javascript
Angularjs 双向绑定时字符串的转换成数字类型的问题
Jun 12 Javascript
ajax前台后台跨域请求处理方式
Feb 08 Javascript
AngularJS select加载数据选中默认值的方法
Feb 28 Javascript
clipboard.js在移动端复制失败的解决方法
Jun 13 Javascript
JavaScript设计模式之原型模式分析【ES5与ES6】
Jul 26 Javascript
回顾Javascript React基础
Jun 15 Javascript
Layui table field初始化加载时进行隐藏的方法
Sep 19 Javascript
jQuery、zepto、js常用小技巧
Feb 12 #Javascript
JS中如何实现Laravel的route函数详解
Feb 12 #Javascript
js输入框使用正则表达式校验输入内容的实例
Feb 12 #Javascript
浅谈js中同名函数和同名变量的执行问题
Feb 12 #Javascript
老生常谈jquery id选择器和class选择器的区别
Feb 12 #Javascript
使用jquery判断一个元素是否含有一个指定的类(class)实例
Feb 12 #Javascript
浅谈jQuery中事情的动态绑定
Feb 12 #Javascript
You might like
腾讯QQ php程序员面试题目整理
2010/06/08 PHP
简单分析ucenter 会员同步登录通信原理
2014/08/25 PHP
php使用wordwrap格式化文本段落的方法
2015/03/17 PHP
PHP中通过trigger_error触发PHP错误示例
2015/06/23 PHP
Laravel框架中Blade模板的用法示例
2017/08/30 PHP
PHP设计模式之观察者模式定义与用法示例
2018/08/04 PHP
sina的lightbox效果。
2007/01/09 Javascript
理解Javascript_11_constructor实现原理
2010/10/18 Javascript
不提示直接关闭网页窗口的JS示例代码
2013/12/17 Javascript
jQuery学习笔记之jQuery.fn.init()的参数分析
2014/06/09 Javascript
extjs 时间范围选择自动判断的实现代码
2014/06/24 Javascript
JS实现在线统计一个页面内鼠标点击次数的方法
2015/02/28 Javascript
JS实现不规则TAB选项卡效果代码
2015/09/16 Javascript
数组Array的排序sort方法
2017/02/17 Javascript
Angular 1.x个人使用的经验小结
2017/07/19 Javascript
详解angular笔记路由之angular-router
2017/09/12 Javascript
原生JS实现逼真的图片3D旋转效果详解
2019/02/16 Javascript
详解vue中this.$emit()的返回值是什么
2019/04/07 Javascript
React学习之受控组件与数据共享实例分析
2020/01/06 Javascript
Javascript实现秒表计时游戏
2020/05/27 Javascript
jQuery实现鼠标拖拽登录框移动效果
2020/09/13 jQuery
[48:24]完美世界DOTA2联赛循环赛LBZS vs Forest 第一场 10月30日
2020/10/31 DOTA
Python基于回溯法子集树模板实现8皇后问题
2017/09/01 Python
用pandas中的DataFrame时选取行或列的方法
2018/07/11 Python
django项目搭建与Session使用详解
2018/10/10 Python
Django model update的多种用法介绍
2020/03/28 Python
用sqlalchemy构建Django连接池的实例
2019/08/29 Python
css3 实现圆形旋转倒计时
2018/02/24 HTML / CSS
人力资源行政经理自我评价
2013/10/23 职场文书
主题酒店策划书
2014/01/28 职场文书
2014年元旦联欢会活动策划方案
2014/02/16 职场文书
2014年党员自我剖析材料
2014/10/07 职场文书
奖金申请报告模板
2015/05/15 职场文书
贴吧吧主申请感言
2015/08/03 职场文书
公证书
2019/04/17 职场文书
Java 关于String字符串原理上的问题
2022/04/07 Java/Android